Since the beginning of the year, we’ve been tracking in our telemetry a new wave of DCRat distribution, with paid access to the backdoor provided under the Malware-as-a-Service (MaaS) model. The cybercriminal group behind it also offers support for the malware and infrastructure setup for hosting the C2 servers.

Distribution

The DCRat backdoor is distributed through the YouTube platform. Attackers create fake accounts or use stolen ones, then upload videos advertising cheats, cracks, gaming bots and similar software. In the video description is a download link to the product supposedly being advertised. The link points to a legitimate file-sharing service where a password-protected archive awaits, the password for which is also in the video description.

YouTube video ad for a cheat and crack

Instead of gaming software, these archives contain the DCRat Trojan, along with various junk files and folders to distract the victim’s attention.

Archives with DCRat disguised as a cheat and crack

Backdoor

The distributed backdoor belongs to a family of remote access Trojans (RATs) dubbed Dark Crystal RAT (DCRat for short), known since 2018. Besides backdoor capability, the Trojan can load extra modules to boost its functionality. Throughout the backdoor’s existence, we have obtained and analyzed 34 different plugins, the most dangerous functions of which are keystroke logging, webcam access, file grabbing and password exfiltration.

DCRat builder plugins on the attackers’ site

Infrastructure

To support the infrastructure, the attackers register second-level domains (most often in the RU zone), which they use to create third-level domains for hosting the C2 servers. The group has registered at least 57 new second-level domains since the start of the year, five of which already serve more than 40 third-level domains.

A distinctive feature of the campaign is the appearance of certain words in the second-level domains of the malicious infrastructure, such as “nyashka”, “nyashkoon”, “nyashtyan”, etc. Users interested in Japanese pop culture will surely recognize these slang terms. Among anime and manga fans, “nyasha” has come to mean “cute” or “hon”, and it’s this word that’s most often seen in the second-level domains.

C2 server addresses with characteristic naming approach

Victims

Based on our telemetry data since the beginning of 2025, 80% of DCRat samples using such domains as C2 servers were downloaded to the devices of users in Russia. The malware also affected a small number of users from Belarus, Kazakhstan and China.

Conclusion

Kaspersky products detect the above-described samples with the verdict
Backdoor.MSIL.DCRat.
Note that we also encounter campaigns distributing other types of malware (stealers, miners, loaders) through password-protected archives, so we strongly recommend downloading game-related software only from trusted sources.

securelist.com/new-wave-of-att…

Il mondo della cybersecurity potrebbe essere di fronte a un nuovo possibile attacco che avrebbe colpito una delle icone dell’automotive britannico. Jaguar Land Rover (JLR), il prestigioso produttore di veicoli di lusso, sarebbe stato menzionato in un presunto Data Breach rivendicato da un cybercriminale noto come “Rey”, che affermerebbe di aver ottenuto e pubblicato dati aziendali altamente sensibili.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli del post nel Forum Underground

Secondo quanto riportato nel post sul Dark Web, il presunto data breach includerebbe circa 700 documenti interni, tra cui development logs, tracking data e persino codice sorgente. Inoltre, si parla di un set di dati dei dipendenti che conterrebbe informazioni sensibili come nome utente, e-mail, nome visualizzato, fuso orario e altro ancora.

Se queste informazioni fossero autentiche, potrebbero includere dati riservati su progetti in sviluppo, strategie aziendali e informazioni personali dei dipendenti, con possibili rischi legati a furti d’identità, attacchi di spear phishing e spionaggio industriale. Quali sarebbero le conseguenze per JLR? Se il leak contenesse informazioni su modelli futuri o innovazioni tecnologiche, il danno potrebbe estendersi ben oltre il singolo attacco, impattando la competitività dell’azienda nel lungo periodo.

Un attacco mirato o una falla sfruttata?

Al momento, non ci sono conferme ufficiali sulla dinamica dell’attacco, né sulla sua autenticità. Non è chiaro se si tratti di un’infiltrazione mirata o se Rey avrebbe semplicemente sfruttato una vulnerabilità nei sistemi di JLR. Tuttavia, le informazioni circolate suggerirebbero una possibile preparazione accurata e un’azione coordinata. Se vero, sarebbe un segnale allarmante per l’intero settore automotive, sempre più esposto alle minacce informatiche.

Un segnale d’allarme per il settore automotive?

Se confermato, questo attacco non sarebbe un caso isolato: il settore automobilistico è sempre più nel mirino dei cybercriminali, che vedono nelle aziende automotive un’enorme quantità di dati preziosi e infrastrutture critiche da compromettere. Con l’avvento dei veicoli connessi e delle supply chain digitalizzate, il rischio di intrusioni informatiche diventa sempre più elevato.

Conclusione

Ancora una volta, se queste informazioni fossero veritiere, dimostrerebbero quanto sia cruciale adottare strategie di sicurezza avanzate e rafforzare le misure di protezione per prevenire fughe di dati e attacchi devastanti. La domanda che rimane aperta è: quanto è davvero preparato il settore automotive a contrastare questa escalation di minacce?

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Jaguar Land Rover nel mirino: un Threat Actor rivendica la pubblicazione di dati riservati! proviene da il blog della sicurezza informatica.

How many cars go down your street each day? How fast were they going? What about folks out on a walk or people riding bikes? It’s not an easy question to answer, as most of us have better things to do than watch the street all day and keep a tally. But at the same time, this is critically important data from an urban planning perspective.

Of course, you could just leave it to City Hall to figure out this sort of thing. But what if you want to get a speed bump or a traffic light added to your neighborhood? Being able to collect your own localized traffic data could certainly come in handy, which is where TrafficMonitor.ai from [glossyio] comes in.

This open-source system allows the user to deploy an affordable monitoring device that will identify vehicles and pedestrians using a combination of machine learning object detection and Doppler radar. The system not only collects images of all the objects that pass by but can even determine their speed and direction. The data is stored and processed locally and presented via a number of graphs through the system’s web-based user interface.

While [glossyio] hopes to sell kits and even pre-built monitors at some point, you’ll have to build the hardware yourself for now. The documentation recommends a Raspberry Pi 5 for the brains of your monitor, backed up by a Coral AI Tensor Processing Unit (TPU) to help process the images coming in via the Pi Camera Module 3.

Technically, the OPS243-A Doppler radar sensor is listed as optional if you’re on a tight budget, but it looks like you’ll lose speed and direction sensing without it. Additionally, there’s support for adding an air quality sensor to see what all those passing cars are leaving behind.

This isn’t the first time we’ve seen the Raspberry Pi used as an electronic traffic cop, but it’s undoubtedly the most polished version of the concept we’ve come across. You might consider passive radar, too.

hackaday.com/2025/03/11/homebr…

Nel 2021, un team di ricercatori composto da scienziati e specialisti della sicurezza informatica ha scoperto una vulnerabilità nel Great Firewall cinese, denominata Wallbleed (che deriva dal famigerato problema Heartbleed in OpenSSL). Per studiare il funzionamento interno del firewall è stata sfruttata una vulnerabilità legata alla fuga di dati.

Nonostante il nome, gli esperti sottolineano che il problema non ha nulla a che fare con l’Heartbleed originale. La vulnerabilità è anche legata alla lettura fuori dai limiti, ma grazie a questo aiuto i ricercatori sono riusciti a rivelare solo 125 byte alla volta.

Ricordiamo che il “Grande Firewall Cinese” è apparso alla fine degli anni ’90 e nel tempo è diventato sempre più complesso. Il suo scopo principale è impedire ai cittadini cinesi di visitare determinati siti web stranieri e rallentare il traffico internet legittimo tra la Cina e i paesi stranieri.

In genere, il ruolo del Grande Firewall cinese è quello di filtrare e bloccare i contenuti intercettando le richieste DNS e fornendo risposte non valide che reindirizzano gli utenti lontano da determinati siti.

La vulnerabilità Wallbleed è stata individuata nel sottosistema di iniezione DNS, responsabile della generazione di false risposte DNS quando un utente dalla Cina tenta di visitare risorse proibite.

Quando una persona tenta di accedere a un sito web vietato, il suo dispositivo richiede l’indirizzo IP del dominio tramite DNS per stabilire una connessione con esso. Il sistema rileva e intercetta questa richiesta DNS e invia all’utente una risposta DNS con un indirizzo IP falso che non porta da nessuna parte.

La vulnerabilità Wallbleed è causata da un bug nel parser delle query DNS che, in determinate condizioni, restituisce involontariamente fino a 125 byte di dati aggiuntivi dalla memoria al client insieme alla risposta. Ciò significa che i dati fuoriuscivano dalle macchine che controllavano le query DNS e che probabilmente era necessario bloccarle. Grazie a una progettazione accurata delle query DNS, i ricercatori sono riusciti a ottenere 125 byte di memoria dai server del Great Firewall che controllavano tali query.

Si noti che il “Grande Firewall cinese” utilizza da molti anni iniezioni DNS per implementare il filtraggio e che almeno tre di questi sistemi operano contemporaneamente. Esistono però altri sottosistemi. Di conseguenza, anche se l’utente riesce a ottenere una risposta DNS corretta, vengono attivati ​​altri meccanismi e l’accesso rimane comunque bloccato.

Nel loro rapporto, i ricercatori sottolineano che la vulnerabilità Wallbleed “ha fornito una visione senza precedenti del Grande Firewall cinese” e ha contribuito notevolmente al suo studio. In particolare, Wallbleed è stato in grado di estrarre i dati sul traffico di rete in testo chiaro, di comprendere per quanto tempo i byte rimangono nella memoria (solitamente da zero a cinque secondi) e di trarre conclusioni sull’architettura del processore (x86_64).

È stato inoltre scoperto che alcuni dispositivi intermediari vulnerabili erano in grado di intercettare il traffico proveniente da centinaia di milioni di indirizzi IP in Cina. Vale a dire che, come previsto, elaborano il traffico proveniente da tutto il Paese. Vale la pena notare che in passato sono stati condotti vari studi, ma gli esperti del Great Firewall Report sostengono che in precedenza non si sapeva molto sui dispositivi intermedi e sulla struttura interna del firewall.

Ad esempio, nel 2010, su Twitter è stato pubblicato uno script di una sola riga che, grazie a un difetto del DNS, consentiva di visualizzare 122 byte della memoria del Great Firewall cinese. Questo problema è stato risolto solo nel novembre 2014. Ora, i ricercatori hanno utilizzato una macchina presso l’Università del Massachusetts ad Amherst per eseguire Wallbleed ininterrottamente per monitorare l’infrastruttura del firewall tra ottobre 2021 e marzo 2024. Grazie a ciò è stato possibile scoprire come viene supportato il Great Firewall of China.

Il rapporto includeva infine la vulnerabilità Wallbleed v1, presente prima della prima patch, e Wallbleed v2, una nuova iterazione dello stesso bug che ha consentito agli esperti di studiare il firewall fino a marzo 2024, dopodiché il bug è stato finalmente risolto.

L'articolo Wallbleed: La Falla Del Great Firewall Cinese che ha Svelato Molto Sul Suo Funzionamento proviene da il blog della sicurezza informatica.

Casualmente avevo programmato la ripubblicazione di questo contributo nel momento in cui l’attualità ci consegna la notizia che negli Stati Uniti vengono messe al bando delle parole, una delle quali è gender. In questa relazione, come poi nel libro che pubblicammo, è una parola che ricorre di frequente: Prima di essere spacciata come una specie di mostro, nemico delle famiglie e dei valori, gender era una parola relativamente nota per via dell’espressione gender studies, di cui per una serie di ragioni non si usava molto il corrispettivo italiano.
Ancora più volentieri, dunque, ripubblico questo contributo quasi giovanile, in un clima in cui si manomette il senso delle parole per liberarsi di decenni di elaborazione del pensiero.

massimogiuliani.it/blog/2025/0…

Per una terapia sistemica “sensibile al genere”

A proposito di una ricerca che ho condotto anni fa con Adriana Valle sulle questioni di genere in terapia della famiglia e sulla prescrittività dei ruoli maschile e femminile.

^{Corpi che parlano, il blog}